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(57) Abstract; The invention relates to a method for checking conformity of a network key (NK). The inventive method is used for 
transmitting data from a conditional access source to a domestic network and consists in verifying the authencity of a network key 
^ (NK) by means of pertinent control data provided by a verification centre in the form of a list { (TK)^^!, (TK)nk2, (TK)nk3 }. The 
fS verification of the presence or absence of a cryptogram (T K)nk is carried out according to the list { (TK)^'K:l, (TK)nk2, CnC)NK3 }- 

OThe cryptogram (T K)kk is produced on the basis of a test key (TK) delivered by the centre for verification of encryption, by the 
. network key (NK) of the safety module (CT) of a device (TVl, TV2, PC) connected to the network. 
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PubUee : 

— avec rapport de recherche intemationale 



En ce qui conceme les codes a deux lettres et autres abre\fia- 
tions, se rSferer aux "Notes explicatives relatives aux codes et 
abreviations" figurant au debut de chaque numero ordinaire de 
la Gazette du PCT. 



(57) Abrege : Le but de la presente invention est de proposer une methode de controle de la conformile d*une cle de reseau (NK). 
Cetle methode s'appHque lors du transfert de donnees provenani d'une source 6 acces conditionnel vers un reseau domestique. II 
s'agit de verifier I'authenticite d*une cle de reseau (NK) par rintermediaire de donnees de controle pertinentes foumies par le centre 
de verification en g^ndral sous forme d'une liste {(TK)NK1 , (TK)NK2 , (TK)NK3 }. Une verification de la presence ou de I'absence 
d*uncryptogramme(TK)NKesteffectueeselon la liste {(TK)NK1, (TK)NK2 , (TK)NK3 ). Le cryptogramme (TK)NK est constitue 
6 panir d'une cl6 de test (TK) foumie par le centre de verification encryptee par une c\6 de p6seau (NK) d*un module de security 
(CT) d'un appareil (TV I, TV2. PC) connect^ au r6seau. 
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M^THODE DE VERIFICATION DE LA VALIDITE D'UNE CLE POUR UN ROSEAU 

. DOMESTIQUE NUMERIQUE 

La presents invention concerne une methode de securisation dans un r^seau 
domestique numerique. Plus particulidrement, la mdthode de Tinvention s'articule sur 
5 des reseaux uniques d'appareils dont les contenus sont personnalis§s. 

Un r6seau domestique numerique est un ensemble d'appareils audio-visuels relics 
par des interfaces num6riques. Ces appareils Incluent par exemple des d^codeurs 
numeriques, t6l6viseurs numeriques, lecteurs / enregistreurs de DVD, appareils de 
stockage munis de disques durs, enregistreurs audio MPS, des livres ^lectroniques, 
10 consoles de jeux, ordinateurs ou autres plate-formes permettant I'accds d Internet. 

La technologie numerique donne la possibilite d'effectuer des copies de contenus 
(films, musique, jeux videos, logiciels...) qui sont de m§me qualite que Toriginai. Ces 
copies parfaites impliquent des consequences nefastes pour Tindustrie au niveau 
des droits d'auteurs si une protection efficace n'est pas disponible. 

Le contenu original arrive dans la maison par diverses sources: il peut etre transmis 
par voie hertzienne. par le satellite ou le cable, par Tlnternet ou etre enregistre sur 
une cassette numerique, un DVD ou meme un disque dur. Avant de fournir leur 
contenu aux distributeurs, les d^tenteurs des droits specifient certaines conditions 
d'acces concemant la protection du contenu qui doivent done etre mises en vigueur 
par un systdme de protection du contenu a rint^rieur de la maison. 

Un contenu peut, par exemple. etre associe a des droits comme: "Lecture seule", 
"Copie pour usage prive", "Copie libre", 

Un systeme de protection des contenus numerique va permettre aux proprietaires et 
distributeurs de contenus de lutter centre les pertes de revenus dues au piratage. II 
25 est bas6 sur Tutilisation de modules de securite permettant une identification de 
chaque appareil connects sur le reseau domestique et le d^codage des donn^es. 

L'avantage d'un tel systeme est que le contenu est toujours conserve crypto dans le 
reseau numerique domestique jusqu'S ce qu'il soit lu. Le d^cryptage est realise en 
collaboration avec le module de security amovible insure dans I'appareil de lecture. 
30 Cette m6thode simple offre une s6curite complete de Tencryptage. 
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Un tel systSme de protecfion est qualifie de "bout en bout*', c*est-d-dire depuis 
Tentree du contenu* sur le r6seau domestique numerique jusqu'a sa restitution, en 
passant par son stockage 6ventueL 

Avec ce syst&me, les fournisseurs de contenus peuvent facilement choisir des droits 
5 pour les utillsateurs de donn^es encrypt^es qui seront appllqu6s au r^seau 
domestique. 

Une possibility de dupliquer et de gerer des contenus numeriques ^ Tintdrieur de son 
reseau est ainsi offerte ^ Tutilisateur dans le cadre des droits d^finis par les 
fournisseurs de contenus. Eile permet ^ Tutilisateur de partager le cdntenu enregistr6 
10 sur n'importe quel apparell numerique fixe ou portable connects, tout en empechant 
la redistribution de ce contenu d rextSrieur de son reseau personnel. 

Le systSme cree un environnement s^curisS: il permet d'enregistrer des contenus 
crypt6s, mais en interdit la lecture si le contenu n'est pas legitime. Un contenu 
ill6gitime est une copie non autoris^e par le detenteur des droits associ^s. Par 
15 exemple, un disque cop\6 d partir d'un original sur un appareil appartenant ^ un 
reseau A ne pourra pas etre lu par un appareil connects d un rSseau B. 

Tout contenu non gratuit est associe a un rSseau domestique donn6 et par 
consequent, ne peut etre utilise que sur ce mSme reseau. Uidentit^ au reseau est 
assur^e par les modules de security qui, du fait qu'ils sont amovibles, permettent 
20 une certaine mobility. 

Cependant. un reseau domestique peut egalement comprendre des appareils 
mobiles externes associes d ce reseau, par exemple un lecteur de musique portable 
ou un appareil dans une voiture, ainsi que des appareils dans une residence 
secondaire qui appartient au proprietaire du r&seau initial: Autrement dit, les 
25 contenus sont prot^gSs par la meme cl6 des que les appareils externes ont ete 
connectes au moins une fois au reseau de reference. II n'est done pas n^cessaire 
d'avoir une connexion permanente. Tous ces appareils partagent une cle propre a un 
reseau priv^ domestique. sur lequel le contenu est disponible pour un usage priv6, 
mais seulement selon les droits associes. 
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Le systeme de protection dont les principes sont 6voqu6s ci-dessus est d6crit dans 
le document de Thomsqn Multinnedia SA: "SmartRight^", A Content Protection 
System for Digital Home Networks, White Paper" publi6 en octobre 2001 . 

Selon une configuration particuliere, le point d'entr^e d*un reseau domestique 
5 num^rique est constitue d'un decodeur ("Set-Top-Box") qui reQoit un flux de donnees 
crypto d partir d'un satellite, d'un cdble, voire par le biais d'Intemet. Ce decodeur est 
muni d'un module de s6curlte en general sous forme d'une carte § puce appelee 
module convertisseur. Le role de ce module consiste a traiter les conditions definies 
par le controle d"acces du fournisseur d'acces conditionnel done a decrypter les 

10 messages de controle (ECM) contenant les mots de controle (CW) permettant le 
dechiffrement du contenu si les droits sont presents dans ce module. Dans 
I'affirmative, ce module reencrypte les mots de controle (CW) grace a une cle de 
session generee aleatoirement par le module. Ce module joint aux mots de controle 
(CW) la de de session encryptee par ia cl6 de reseau pour former des messages de 

1 5 controle locaux (LECM). 

Selon une deuxi^me possibility, le point d'entree est un lecteur de donnees tel qu'un 
lecteur DVD. Les donnees sont stockees sous forme encryptee et un module dans le 
lecteur dispose des capacit^s pour decrypter ces donnees. Une fois decryptees, 
elles sont re-encryptees selon le reseau local connects et diffus^es dans ce reseau. 

20 Selon le mode d'operation, il est possible de ne pas decrypter les donnees mais de 
traiter que la ou les cl^s d'encryption. En effet, une technique connue consiste d 
encrypter les donnees par un ou des cl^s de session (done determinee 
aleatoirement) et d'encrypter ces cl^s par une cl6 propre au systeme et connue du 
lecteur de DVD. Le lecteur d^crypte i'ensemble des cles et re-encrypte cet ensemble 

25 grace a ia cle locale. Les donnees proprement dites ne sont pas traitees et restent 
sous leur forme originale. Dans cette forme d'ex6cution, le module convertisseur est 
le module qui contient les moyens pour decrypter I'ensemble des cl6s et les 
encrypter pour le reseau local. 

Dans les deux cas cit^s ci-dessus, on pariera de dispositif de diffusion puisque sa 
30 fonction principale est de diffuser des donnees dans un reseau local. 
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La cl6 de rSseau est une die propre S un r6seau donn6. Elle est g6ner6e dans le 
reseau au moyen d'un module de securite appelee module terminal associee au 
premier appareil de visualisation du contenu se connectant au reseau. Ce dernier 
module est le seul capable d'initialiser le reseau. Un module terminal additionnel 
5 regoit ensuite la cle de reseau de la part du premier appareil. Ce module terminal est 
en g6n6ral sous forme d'une carte a puce ou peut etre un circuit mont6 directement 
dans le disposltif de traitement. 

Par centre, la cle de reseau n'est pas connue du module convertisseur afin d'eviter 
d'y concentrer tous les secrets, ce qui en ferait une cible privil6gi6e d'attaque pour 
10 les pirates. Par consequent, un mecanisme de communication securise doit etre mis 
en place entre un module terminal et le module convertisseur pour que cette 
demidre puisse ins6rer la cl6 de session encryptee par la cl6 de reseau dans les 
messages de controle (LECM) qu'elle genere. 

A cette fin, le module terminal 6change avec le module convertisseur une cle 
15 publique connue du module terminal et une cl6 de session generee al6atoirement 
par le module convertisseur. Le module terminal transmet sa cle publique au module 
convertisseur qui retourne la cl6 de session cryptee avec la cle publique. Le module 
terminal ddcrypte alors la cle de session, puis retransmet au module convertisseur 
cette cle de session cryptee avec la cle de reseau. 

20 Le module convertisseur encrypte d'une part les mots de controle (CW) d Taide de la 
cle de session et d'autre part, elle y joint la cle de session cryptee avec la cl6 de 
reseau (provenant d'un des modules terminal) pour former les messages de controle 
locaux (LECM). Ces messages (LECM) sent alors transmis avec le contenu crypte 
aux diff^rents appareils du reseau pour stockage ou visualisation. 

25 Chaque appareil terminal connecte au reseau peut done d^crypter les messages 
(LECM) et en extraire les mots de contrdle (CW) car il possede la cle de reseau et 11 
regolt la cl6 de session cryptee par la cIS de reseau. II peut ensuite, a I'aide de ces 
mots de contrdle (CW), decrypter le flux de donnees. Ces appareils sent dit dispositif 
de traitement. 

30 Ce proced^ d'introduction d'une cle de reseau contenue dans une carte terminal 
presente un inconvenient par le fait qu'il est techniquement possible d'initialiser une 
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multitude de r^seaux domerstiques au moyen d'un module terminal falsifi^. En effet, 
dans le systeme de protection connu, la c\6 de r^seau n'est pas contenue en tant 
que telle dans le module convertisseur, mais seulement sous la forme d'une cle de 
session cryptee par la cle de reseau. Des r6seaux non autoris6s ainsi etablis 
5 peuvent posseder done tous la meme cl6 et par consequent, les contenus 
enregistr6s dans les appareils peuvent etre redistribu6s et exploites en dehors du 
nombre limite de membres tels que defini dans la norme d'un reseau domestique. 

De plus, une cl6 de reseau tierce non reconnue par le fournisseur de contehu peut 
§tre introduite dans un module terminal permettant la creation d'un reseau dont les 
10 droits attribues aux contenus ne sont plus geres par le d^tenteur. 

Le but de la presente invention est de pallier les inconv^nients d^crits ci-dessus en 
proposant une methode de controle de la conformite de la cl6 de reseau. 

Ce but est atteint par une methode de verification de la validite d'une cl6 de reseau 
dans un reseau domestique num^rique comprenant au moins un dispositif de 
15 diffusion et un dispositif de traitement, le dispositif de diffusion disposant de donn^es 
encrypt^es ^ diffuser vers le dispositif de traitement, ces donn^es etant accessibles 
par le dispositif de traitement grace ^ une cle de reseau inconnue du dispositif de 
diffusion, cette methode comprenant les stapes suivantes: 

- transmission par le dispositif de diffusion d'une cl6 de test au dispositif de 
20 traitement, 

- calcul d'un cryptogramme resultant de I'encryption de la cle de test par la cl6 de 
reseau dans le dispositif de traitement, 

- envoie du cryptogramme au dispositif de diffusion, 

- determination par le dispositif de diffusion de la validity de la cle de reseau en 
25 comparant le cryptogramme avec une liste de cryptogrammes valide et/ou invalide. 

La methode s*applique g^n§ralement lors de transfert de donnees provenant d*une 
source a acc&s conditionnel vers un reseau domestique. II s'agit de verifier 
I'authenticitd d'une cl§ de reseau par Tintermediaire de donnees de controle 
pertinentes fournies par un centre de verification en general sous forme d'une liste. 
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La m^thode est bas^e sur la v§rification de la presence ou de Tabsence d'un 
cryptogramme donne sur, una liste de controle: le cryptogramme 6tant constitu6 a 
partir d'une de de test, fournie par le centre de verification, encrypt6e d Taide d'une 
cle de reseau d'un module terminal d'un appareil connecte au reseau. 

5 La liste de contrdle foumie par le centre de verification contient des cryptogrammes 
cr66s soit avec des cles de r6seau invalides ("black list"), soit avec des cles valides 
("white list"). Une cIS de r6seau contenue dans un module terminal sera done valide 
seulement si son cryptogramme correspondant est absent d'une "black list" ou 
present dans une "white list". 

10 Dans le cas d'un lecteur de DVD, les donnSes du film par exemple sont 
accompagn^es par un fichier de cryptogrammes invalides (ou valides) et la 
comparaison peut s'effectuer de la mSme mani^re que pour un decodeur. 

Selon une premiere variante, les donnees permettant de verifier une cl6 de r6seau 
comprennent une cle de test et un ensemble de cryptogrammes, c'est-^-dire le 
15 resultat de I'encryption de la cl§ de test avec toutes les cles de reseau valides ou 
invalides. La cle de test est envoyee au dispositif de traitement et le cryptogramme 
renvoy^ est compare avec cette liste. 

Selon une seconde variante, les donnSes permettant de verifier une cl6 de reseau 
comprennent I'ensemble des cl^s de reseau invalides. La cle de test est gen^r^e 
20 al6atoirement par le dispositif de diffusion et transmis au dispositif de traitement Le 
cryptogramme renvoy6 est stock6 et compar6 avec les cryptogrammes g6n6r6s par 
le dispositif de diffusion en encryptant la cle de test avec chaque cle de r6seau 
invalide. 

Pour la suite de {'expose, il sera fait plus particulierement mention du module 
25 convertisseur localise dans le dispositif de diffusion pour les operations de 
verification. De meme, le module terminal effectue les operations pour le compte du 
dispositif de traitement avec lequel ce module est relie. 

Selon un mode de realisation, une fois la verification passee avec succes, le module 
convertisseur genere une cle de session, cle qui sera transmise de maniere 
30 securisee au module terminal d'un des appareils. Cette cie de session est alors 
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encryptee par la cl6 de r6seau du module terminal pour former un cryptogramme qui 
est renvoye au module convertisseur. Le module convertisseur va utiliser cette cl6 de 
session pour encrypter les mots de contrdle (CW), et les transmettre soit vers un 
dispositif de traitement, soit vers un dispositif de stockage accompagn^ du 
5 cryptogramme. 

Si la comparaison est negative, le module convertisseur stoppe la gSndration du flux 
de donn^es de contrdle accompagnant le contenu et permettant son d^chiffrement 
au sein du reseau domestique. Un message d'erreur invite Tutilisateur d changer de 
module terminal. Dans une variante ou le d6codeur poss6de un canal de retour, ce 
10 message peut etre aussi transmis au centre de verification pour signaler un module 
terminal non valide. 

Selon cette m^thode la cle de session est remplacee dans une phase de test, par 
une cle de test d valeur predefinie. La cl^ de test joue alors un rdle analogue d celui 
de la cl6 de session du procede d'initlalisation decrit plus haut. 

15 ^invention sera mieux comprise grSce a la description detaillee qui va suivre et qui 
se refere aux figures annex6es servant d'exemple nullement limitatif, d savoir: 

La figure 1 represente une communication typique entre un module terminal et 
un module convertisseur selon la m^thode de I'^tat de la technique. 

La figure 2 represente une communication typique entre un module terminal et 
20 un module convertisseur selon la m^thode de I'invention. 

Le reseau domestique numerique illustr^ par la figure 1 est compose d'un d^codeur 
(STB), des tei^viseurs (TV1, TV2) et d'un ordinateur (PC). Chaque appareil est muni 
d'une carte d puce amovible servant de module de s6curit6 charge de Tencryptage / 
decryptage des donn6es du r6seau. Selon une variante particuliere. le module de la 
25 carte a puce peut etre directement monte dans Tappareil de maniere permanente. 

Selon une realisation preferee, la carte associ^e au d^codeur (STB) est un module 
convertisseur (CC) qui transforme des messages de controles ECM (Entitlement 
Control Message) re^us par le decodeur en ECM locaux (LECM) propres au reseau. 
Ces demiers contiennent les des de d6cryptage ou mots de controle (CW) du flux de 
30 donnees (DT) provenant du centre de gestion encryptes par une cl6 de transmission 
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(TK). Les ECM locaux (LECM) corttiennent egalement les mots de contrdle (CW) du 
flux de donnees (DT) encryptes avec une cle de session locale, mais ils contiennent 
aussi cette cle de session (SK)encryptee par la c\6 de r^seau (NK). 

Les cartes associ^es aux appareils de visualisation (TV1, TV2, PC) appartenant au 
5 reseau sont des modules terminal (CT) qui permettent le d6cryptage des donn&es du 
rSseau au niveau des appareils (TV1, TV2, PC) grdce k la cl6 de reseau (NK) 
stock^e dans chaque module. 

La liaison entre un reseau § acc^s conditionnel et un reseau domestique s'effectue 
par la connexion d*un appareil par exemple (TV1) au decodeur (STB). Lorsque le 

10 module convertisseur (CC) associee au decodeur (STB) doit transformer des 
messages de contrdles ECM (Entitlement Control Message) en des ECM locaux 
(LECM) propres au reseau, un dialogue s'dtablit entre le module terminal (CT) 
associ6e a Tappareil (TV1) et le module convertisseur (CC). Ce dialogue s'effectue 
de maniere securis6e en utilisant une paire de cl§s asymetriques (cle publique et cte 

15 privee) propre au module terminal (CT); il se r§sume en 3 etapes (1, 2, 3) comme 
suit: 

1) .- Le module terminal du premier appareil transmet sa cle publique (PK) au module 
convertisseur (CC) du d6codeur (STB). 

2) .- Le module convertisseur (CC) g^n^re al^atoirement une cl^ de session (SK) 
20 qu'elle crypte avec la cid publique (PK) precedemment regue. Le module 

convertisseur (CC) transmet alors la cle encryptee (SK)pk au module terminal (CT). 

3) .- Le module terminal (CT) decrypte la cl6 de session (SK) en utilisant sa cl6 priv6e 
associee a la c\6 publique (PK). Elle encrypte ensuite la cle de session (SK) au 
moyen de la cle de reseau (NK) qu'elle stocke en permanence. Le message 

25 resultant (SK)nk est transmis au module convertisseur (CC). 

Les messages de controle locaux (LECM) comprennent finalement des mots de 
controle (CW) encrypt6s par une cle de session (SK) et cette cle (SK) encrypt6e par 
la cle de reseau (NK). 



Le tel^viseur (TV1) muni de son module terminal (CT) est alors capable de d§crypter 
30 les messages de contrdle locaux (LECM) grace a la cle de reseau (NK) qui sert a 
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d^crypter la cle de session (SK). Cette demlere permet ensuite la d6cryption de mots 
de contrdle (CW) servant ^ d^crypter les donn^es video / audio destlnees au 
t^l^viseur. 

La figure 2 illustre le proc6d6 d'initialisation de la communication selon Tinvention 
5 dont les Stapes se diffSrencient par rapport aux prScSdentes par le fait que la c\& de 
session (SK) est remplacSe, dans une premiere phase, par une cl6 de test (TK). 
Pour cela, le decodeur (ou plus generalement le dispositif de diffusion) dispose d'une 
liste de contrdle {(TK)nki. (TK)nk2 , (TK)nk3 . } de cryptogrammes et d*une cle de 
test; Texemple ci-dessous concerne la variante avec une cl6 de test unique pourtous 
10 les cryptogrammes : 

1 ) .- Le module terminal (CT) du premier appareil transmet sa cl6 publique (PK) au 
module convertisseur (CC) du d6codeur (STB). 

2) .- Le module convertisseur (CC) (ou le dispositif de diffusion grdce d sa memoire 
plus etendue) dispose d'une liste de contrdle {(TK)nki, (TK)nk2 , (TK)nk3 . -} ainsi 

15 qu'une cle de test (TK). Le module convertisseur (CC) crypte la cle de test (TK) avec 
la cle publique (PK) regue du module terminal (CT), ce qui donne un nouveau 
message (TK)pk qui sera retransmis au module terminal (CT). 

3) .- Le module terminal (CT) dScrypte la cle de test (TK) en utilisant sa cl6 privee 
associSe d la cIS publique (PK). Elle encrypte ensuite la cIS de test (TK) au moyen 

20 de la cle de rSseau (NK) qu'elle stocke en permanence. Le cryptogramme resultant 
(TK)NKest transmis au module convertisseur (CC). 

4) .- Le module convertisseur compare le cryptogramme constitu6 par la cl6 de test 
cryptSe par la cl6 de reseau (TK)nk avec ceux repertories dans la liste de contrdle 
{(TK)nki, (TK)nk2 . (TK)nk3 . .} qui peut etre soit une liste noire (black list) ou liste des 

25 valeurs non autoris6es, soit une liste blanche (white list) ou liste des valeurs 
autorisSes. 



Un cryptogramme (TK)nk contenu dans une liste noire ou absente d'une liste blanche 
est invalide; cela signifie que la cle de reseau (NK) utilis^e pour I'encryptage de la 
cle de test (TK) est refusee. Une signalisation adequate, sous forme d'un message 
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d'erreur par exemple, invite Tutilisateur a changer de carte et d recommencer 
Toperation de connexion. . 

Un cryptogramme (TK)imk appartenant a une liste blanche ou absente d'une liste 
noire est par contre accepte. Dans ce cas, le module convertisseur (CC) gSndre 
5 aleatoirement une cl6 de session (SK) qu'elle crypte avec la cl§ publique (PK) 
prec6demment regue. Le module convertisseur transmet alors le cl6 encryptee 
(SK)pK au module terminal (CT). 

5).- Le module terminal (CT) d6crypte la cle de session (SK) en utilisant sa cl6 privSe 
associ6e ^ la cl6 publique (PK). Elle encrypte ensuite la cle de session (SK) au 
10 moyen de la cle de reseau (NK) qu'elle stocke en permanence. Le message 
resultant (SK)nk est transmis au module convertisseur (CC). 

En general, le module convertisseur (CC) v6rifie Tauthenticite des donn^es de 
contrdle revues au moyen d'une signature sdcurisee provenant du centre de 
verification. 

15 II est a noter que le traitement du cryptogramme regu peut se faire posterieurement 
et dans Tintervalle, le module convertisseur autorise la diffusion de donnees vers le 
dispositif de traitement. L'exploitation des donnees comme par exemple la diffusion 
d'un film dure suffisamment longtemps pour permettre les operations de 
comparaison avec un grand nombre de cryptogrammes. Ceci est particulidrement le 

20 cas oCi le module convertisseur dispose des cles de reseau d invalider et qu'il doit 
done calculer pour chaque cl§ de reseau le cryptogramme correspondent. 

Seion une variante de Tinvention, la liste de controle {(TK)nki. (TK)nk2 , (TK)nk3 ..} 
est stockSe dans une memoire du decodeur apres reception (ou plus generalement 
du dispositif de diffusion tel qu'un lecteur de DVD), car elle peut constituer un fichier 

25 trop important pour etre stocks dans le module convertisseur (CC). La comparaison 
du cryptogramme (TK)NKavec ceux contenus dans la liste {(TK)nki, (TK)nk2 . {TK)nk3 
...} est effectu^e par le decodeur (STB). Dans cette variante, en particulier pour un 
lecteur de DVD (LDVD), la liste peut etre actualis^e avec les DVD les plus r^cents. 
Ainsi, iorsqu'un ancien DVD est insere, ce n'est plus la liste qui lui est attachee qui 

30 sera utilis^e mais la liste la plus recente provenant d*un DVD recent, stock^e dans le 
dispositif du diffusion. 
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Seion une autre variante le centre de verification transmet, au lieu de la liste de 
controle {(TK)nki, (TK)nk2 • (TK)nk3 • adresse indiquant oCi cette liste peut §tre 

t^l^chargee via Internet. Cette variante necessite, soit un decodeur (STB) disposant 
d'un canal de retour, soit un ordinateur possedant une connexion Internet. Le fichier 
5 sera alors soit stock6 directement dans la memoire du decodeur, soit transmis 
depuis Tordinateur vers ie decodeur. 

Selon une autre variante, la cl6 de test cryptSe avec la cle de r&seau (TK)nk est 
transmise de mani^re s^curisSe par le module convertisseur (CC) via le decodeur 
(STB) vers un serveur ad6quat ou vers le centre de verification ou la liste {(TK)nki. 

10 (TK)nk2 . (TK)nk3 est stock6e. La verification de la validity de la cle (TK)nk est 
done effectuee en ligne et seul un message d'acceptation ou de refus, avec 
eventuellement une signature de la cl§, sera alors retourne au module convertisseur 
(CC), L'avantage de cette variante est de decharger le decodeur de taches qui 
peuvent devenir importantes surtout avec une liste dont la longueur ne peut que 

15 croTtre avec le nombre de r^seaux domestiques installes. 

L'avantage de la variante de la liste des cles de reseau a invalider est de pouvoir 
definir localement la cle de test. En effet, si cette cle de test est connue, il est 
possible de programmer un module terminal pour r6pondre par une valeur aleatoire 
lorsqu'il re9oit une telle cl6 et done passer avec succes retape de verification quand 
20 bien meme sa cle de reseau est invalid^e. 

Bien entendu, le centre de verification peut generer des fichiers dans lesquels une 
cie de test differente est utilisee mais cela n^cessite de teiecharger ces informations 
regulierement dans chaque decodeur, solution impossible pour le cas d'un lecteur 
DVD. 

25 C'est pourquol, dans le cadre de I'invention, la cie de session generee aieatotrement 
par le module convertisseur peut egalement servir de cie de test. Si le module 
terminal n'utilise pas la cle de reseau pour encrypter cette cie de session afin de 
contoumer retape de verification, les donnees ulterieurement encryptees par cette 
cie de session ne pourront jamais etre exploitees par le reseau local relie a ce 

30 module convertisseur Le module terminal est oblige d'utiliser la cie de reseau et la 
verification pourra s'effectuer par le module convertisseur grace au calcul par ce 
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dernier du cryptogramme de la cIS de session avec toutes les cles de reseau 
invalidees. 

Si Ton souliaite ne pas utiliser la cle de session comme cl6 de test, par exempie du 
fait que certains calculs sont executes dans le d^codeur (ou lecteur DVD) et qu'il 
5 n'est pas souhaitable de sortir cette cl6 de session hors du module convertisseur. le 
protocole d'6change de donnees entre le module convertisseur et le module terminal 
peut comprendre renvoi de plusieurs c\&s de session (par exempie trois) qui seront 
encryptees par la cl6 de reseau dans le module terminal. Les trois cryptogrammes 
sont renvoyes au module convertisseur qui va decider aleatoirement lequel va servir 
10 de cle de session, et lequel servira uniquement pour Tetape de verification. 

Bien qu'il soit sous-entendu que la m6thode de v6rification d6crite ci-dessus est 
effectu6e ^ chaque negociation d'une cle de session, il est possible de faire cette 
v6rlfication a des intervalles plus grands. A cet effet, le module convertisseur 
memorise I'identifiant du module terminal avec qui il a eu une liaison et n'a pas 
15 besoin de renouveler cette v6rlfication tant que le module convertisseur diffuse des 
donn6es vers le meme module terminal. 
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REVENDICATIONS 



1. 



M^thode de verification de la validite d'une cl^ de r^seau (NK) dans un reseau 



domestique num6rlque comprenant au moins un dispositif de diffusion (STB, LDVD) 
et un dispositif de traitement (TV1, TV2, PC), le dispositif de diffusion (STB, LDVD) 
disposant de donn6es encrypt6es (DT) d diffuser vers le dispositif de traitement 
(TV1 , TV2, PC), ces donnees 6tant accessibles par le dispositif de traitement grace d 
une de de r6seau (NK) inconnue du dispositif de diffusion (STB. LDVD), cette 
m^thode comprenant les stapes suivantes: 

- transmission par le dispositif de diffusion (STB. LDVD) d'une cl6 de test (TK) au 
dispositif de traitement (TV1, TV2. PC), 

- calcul d'un cryptogramme (TKnk) resultant de Tencryption de la cl6 de test (TK) par 
la cle de reseau (NK) dans le dispositif de traitement (TV1 , TV2, PC), 

- envoi du cryptogramme (TKnk) au dispositif de diffusion (STB. LDVD), 

- determination par le dispositif de diffusion de la validite de la cle de r6seau en 
comparant le cryptogramme (TKnk) avec une liste de cryptogrammes de contrdle 

{(TK)nk1, (TK)|MK2 . (TK)nk3 ...}- 

2. M6thode de verification selon la revendlcation 1 , caracteris6 en ce que la cle 
de test (TK) et la liste des cryptogrammes de contrdle {(TK)nki, (TK)nk2 . (TK)nk3 ■ .} 
constituent les donnees de controle et sont gen6rees dans un centre de verification 
et transferees dans le dispositif de diffusion. 

3. Methode de verification selon la revendlcation 1 , caracterise en ce que la cle 
de test (TK) est d6termin6e par le dispositif de diffusion, ia liste de cryptogrammes 
de contrdle {(TK)nki, (TK)nk2 . (TK)nk3 ...} est calcuiee par le dispositif de diffusion 
sur la base d'une liste de cles de reseau predetermlnee (NK1, NK2. NK3 ...) 
transmise par un centre de verification et constituant les donn6es de controle, 
chaque cryptogramme de controle (TKnkh) etant le resultat de I'encryption d'une cie 
de reseau llstee (NKn) par la cie de test (TK). 



4. Methode de verification selon la revendication 3, caracterise en ce que la cie 
de test (TK) est generee aieatoirement et sert egalement de cie de session (SK) pour 
Tencryption des donnees encryptees (DT). 
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5. M6thode de verification selon les revendications 4 ou 3, caract^ris^e en ce 
que le dispositif de diffusion genere au moins deux cles de test (TK1, TK2. TKn) et 
les transmet au dispositif de traitement (TV1, TV2, PC), qui lui renvoie les 
cryptogrammes correspondants. le dispositif de diffusion selectionnant un 
cryptogramme (TKInk) et sa cle de test (TK1) assoclee pour les operations de 
verification et un autre cryptogramme (TK2nk) et sa cle de test (TK2) associ^e 
comme cle de session (SK) pour Tencryption des donnees (DT). 

6. Methode de verification selon les revendications 2^5, caracterisee en ce que 
la liste des cryptogrammes de controle consiste en une liste noire (black list) 
{(TK)nki. (TK)nk2 , (TK)nk3 . contenant des cryptogrammes obtenus par Tencryption 
de la cle de test (TK) avec des cl6s de reseau invalides (NK1 , NK2, NK3,...). 

7. Methode de verification selon les revendications 2 a 5, caract6risee en ce que 
la liste des cryptogrammes de controle consiste en une liste blanche (white list) 
{(TK)nki, (TK)nk2 . (TK)nk3 • } contenant des cryptogrammes (TK)nk obtenus par 
rencryption de la cl6 de test (TK) avec des cl6s de r6seau valides (NK1. NK2. 
NK3....). 

8. Methode de verification selon les revendications 6 ou 7, caracteris6e en ce 
qu'un cryptogramme present (TK)NKdans la liste noire ou absent de la liste blanche 
est refuse lors de la comparaison, une signalisation d'erreur invitant Tutilisateur d 
changer de module terminal (CT) est aiors generee. 

9. Methode de verification selon Tune des revendications precedentes, 
caracterisee en ce que le dispositif de diffusion comprend un module convertisseur 
(CC) en charge des operations de verification. 

10. Methode de verification selon Tune des revendications precedentes. 
caracterisee en ce que ie dispositif de traitement comprend un module terminal (CT) 
stockant la cie de reseau (NK). 

11. Methode de verification selon la revendication 9, caracterisee en ce que la 
liste de controle {(TK)nki. (TK)nk2 . (TK)nk3 . } est stockee dans une memoire du 
dispositif de diffusion (STB, LDVD). la comparaison avec le cryptogramme (TK)nk 
s'effectuant par ce dispositif. 
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12. M^thode de verification selon les revendications 3 d 10, caract^ris^e en ce 
que les donnees de contrdle consistent en une adresse indiquant ou la liste de 
controle {(TK)nki. (TK)nk2 . (TK)nk3 . } peut etre t6l6charg6e via Internet au moyen 
du dispositif de diffusion, ladite liste {(TK)nki, (TK)nk2 , (TK)nk3 est alors stockee 
dans la nnemoire du dispositif de diffusion (STB, LDVD). 

13. M^thode de verification selon les revendications 3^12, caracterisde en ce 
que ie module convertisseur (CC) vSrifie Tauthenticite de la liste de controle au 
moyen d'une signature sur lesdites donnSes. 

14. Methods de verification selon la revendication 1 caracterisee en ce que la liste 
de contrdle {(TK)nki. (TK)nk2 • (TK)nk3 ..-} est stockee par un centre de verification, Ie 
dispositif de diffusion transmettant Ie cryptogramme audit centre pour effectuer la 
verification. 

15. Methode de verification selon les revendications 3 a 11, caracterisee en ce 
que Ie dispositif de diffusion est un lecteur de disque DVD, ce disque comprenant 
d'une part les donnees encryptees (DT) et d'autre part les donnees de contrdle. 

16. Methode de verification selon les revendications 3 a 14, caracterisee en ce 
que Ie dispositif de diffusion est un decodeur de television a peage recevant les 
donnees encryptees et les donnees de controle d'un centre de gestion. 
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